Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/Spy.Banker.ZNX , Словили вирус

RSS
 
makaray
makaray
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 21.06.2013
Размещено 21.06.2013 14:22:25
Добрый день, прошу помощи в лечении от этой гадости,
при загрузке НОД обнаруживает этот вирус и пишет о невозможности лечения.
21.06.2013 14:17:48 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = svchost.exe(2456) модифицированный Win32/Spy.Banker.ZNX троянская программа очистка невозможна
Изменено: makaray - 21.06.2013 14:30:03

Ответы

Пред. 1 2 3 4 5 След.
 
makaray
makaray
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 21.06.2013
Размещено 22.06.2013 11:31:25
извиняюсь
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.06.2013 12:50:27
сделайте в ESET NOD32 проверку только оперативной памяти

лог сканирования добавьте на форум.

+
добавьте новый лог журнала обнаружения угроз
Изменено: santy - 22.06.2013 12:50:59
[ Как создать образ автозапуска? ]
 
makaray
makaray
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 21.06.2013
Размещено 22.06.2013 13:17:22
прикладываю
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.06.2013 13:32:26
программу ibank сами ставили? сделайте проверку этого файла на Virustotal

Цитата
Полное имя                  D:\USERS\USER\APPDATA\ROAMING\IBANK2\AGENT.EXE
Имя файла                   AGENT.EXE
Тек. статус                 ПРОВЕРЕННЫЙ в автозапуске
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     51C2CCB4D2000
Linker                      10.0
Размер                      850264 байт
Создан                      20.06.2013 в 22:34:26
Изменен                     20.06.2013 в 22:34:26
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано IdentityMine Inc
                           
Оригинальное имя            a
Версия файла                1.0.0.1
Описание                    TODO: <Описание файла>
Производитель               TODO: <Название компании>
                           
Доп. информация             на момент обновления списка
SHA1                        899E37EE56147A82B369A9D76E2405CB40C2CCA8
MD5                         7A2B7A536D8019E5DE658199E5C2F55F
                           
Ссылки на объект            
Ссылка                      HKLM\vdnljpfcx\Software\Microsoft\Windows\CurrentVersion\Run­\bifit_agent
bifit_agent                 C:\Users\User\AppData\Roaming\iBank2\agent.exe


http://virustotal.com
[ Как создать образ автозапуска? ]
 
makaray
makaray
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 21.06.2013
Размещено 22.06.2013 13:54:40
вобще у нас стоит клиент-банк iBank2, но вчера его не запускали и ничего нового специально не устанавливали, а сейчас посмотрел, где лежит этот файл (C:\Users\User\AppData\Roaming\iBank2\agent.exe) , так вот эта папка создана вчера, хотя повторюсь, принудительно мы ничего не ставили и сам клиент-банк не запускали..
проверив на вирустотал выдало вот такую подозрительную строчку:
Comodo  TrojWare.Win32.Shiz.SRI  20130622  
я так понимаю Comodo его обнаруживает все таки как троян?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.06.2013 13:58:52
ссылку дайте на проверку этого файла
и вышлите данный файл в почту [email protected]
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.06.2013 14:00:51
возможно, что этот файл и есть троян, надо проверить.
(совсем недавно появился в системе)
Цитата
Создан 20.06.2013 в 22:34:26
Изменен 20.06.2013 в 22:34:26
и проблема у вас началась сразу же
Цитата
21.06.2013 10:48:19 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1788) модифицированный Win32/Spy.Shiz.NCL троянская программа очистка невозможна ws-buh\User
+ поясните что это за страница в браузере
Цитата
HTTP://SBANK.RU/
работаете с этим банком?
Изменено: santy - 22.06.2013 14:03:19
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.06.2013 14:04:58
и еще вопрос:
в этой папке есть другие файлы кроме  AGENT.EXE
Цитата
D:\USERS\USER\APPDATA\ROAMING\IBANK2\
[ Как создать образ автозапуска? ]
 
makaray
makaray
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 21.06.2013
Размещено 22.06.2013 14:15:57
ссылка на проверку вирустотал https://www.virustotal.com/ru/file/3ea5a9e03e6f7fcad6d275fb2151391e8b278b04aaeca13a­88bf5c3075fc8e17/analysis/1371894236/
кроме этого файла в папке есть еще файлы, в архиве выслал содержимое все папки
 
makaray
makaray
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 21.06.2013
Размещено 22.06.2013 14:17:05
+ поясните что это за страница в браузере
Цитата
HTTP://SBANK.RU/
работаете с этим банком?

Да работаем, это судостроительный банк (интернет банк)
 
Пред. 1 2 3 4 5 След.
Читают тему